6.1 Inleiding
De commissie Van Beek stelt dat eigen kennis van ICT binnen de rijksoverheid een manier is om de onafhankelijkheid van leveranciers te verminderen. Want één van de lessen uit het verleden is dat een te grote afhankelijkheid van de overheid van leveranciers niet wenselijk is. De vraag is of eigen kennis voldoende is voor onafhankelijkheid van leveranciers, juist ook als breder gekeken wordt naar het vertrouwen in de stemprinter en het elektronisch tellen van de stemmen en de
transparantie van het verkiezingsproces. Onder meer adviseert de commissie Van Beek het beveiligingsprofiel op te laten stellen door onafhankelijke deskundigen op het gebied van de Common Criteria, die daarbij ook adviseren over het certificeringsniveau Onafhankelijke
deskundigen zouden elke twee jaar een risicoanalyse uit moeten voeren om er zeker van te zijn dat de stemprinter en stemmenteller bestand zijn tegen de nieuwste dreigingen, en daarop het
beveiligingsprofiel zo nodig aan te passen en de stemprinter en stemmenteller opnieuw te laten certificeren.
De voorstellen van de commissie van Beek zijn te interpreteren als een waarborg dat voor de stemprinter en stemmenteller de beveiligingsprofielen zijn aangepast aan nieuwe ontwikkelingen en inzichten en dat certificering indien nodig plaats vindt.
In de opdracht voor dit onderzoek is de vraag gesteld over de voor- en nadelen van een college van onafhankelijke ICT-deskundigen (subvraag IVA) en over de samenstelling zodat de
onafhankelijkheid van de deskundigen gewaarborgd is (subvraag IVB). De volgende mogelijke taken zijn voor het college benoemd:
voorstellen doen voor het onderhouden van eisen voor het elektronisch stemmen en tellen, waaronder ook de beveiligingsprofielen (Protection Profiles) voor de Common Criteria-certificering;
in geval van wijzigingen in stemprinter en stemmenteller en programmatuur van stemprinter en/of stemmenteller vaststellen of een nieuwe Common Criteria-certificering noodzakelijk is;
vaststellen of de documentatie met betrekking tot de stemprinter en stemmenteller openbaar is gemaakt zodat de werking van de stemprinter en stemmenteller transparant en controleerbaar is.
6.2 Antwoord subvraag IV A
Om de voor- en nadelen van een dergelijk onafhankelijk college te schetsen is het handzaam eerst enige nadere opmerkingen te maken over de aard van het college. Een aantal respondenten geeft aan dat het college een bredere samenstelling zou moeten hebben dan alleen ICT-experts. Dit om de gebruikerseisen en juridische kennis ten aanzien van de Kieswet mee te nemen in de
informatieveiligheidsvraagstukken rond de stemprinter en stemmenteller. Deze respondenten geven dan ook aan dat er uitvoeringsdeskundigen zitting moeten hebben in het college om de aspecten en risico’s tegen elkaar af te kunnen zetten en te wegen. Dat is naar ons verkregen inzicht niet
39 raadzaam. Het aantrekkelijke van het mogelijke college is nu juist dat het zich louter richt op de geformuleerde taken van onderhoud eisen/beveiligingsprofielen, certificering en openbare
informatie, zonder zich te laten leiden door andere overwegingen dan die voor deze taken ter zake doen.14 De nu geformuleerde mogelijke taken geven die scherpe gerichtheid goed aan.
Daarnaast geven verschillende respondenten aan dat het college een zwaarwegend advies moet kunnen geven, waarvan de minister alleen gemotiveerd kan afwijken. Dat lijkt voor de effectiviteit van de adviezen van het college inderdaad bevorderlijk. De voordelen en nadelen hieronder zijn benoemd op basis van een college met een dergelijke zwaarwegende adviesbevoegdheid. Zo’n college kan een waarborg zijn voor tijdige aanpassing beveiligingsprofielen en tijdige certificering zoals ook door commissie Van Beek nagestreefd. De voordelen van een dergelijk onafhankelijk college zijn aanzienlijk, ook ten opzichte van bijvoorbeeld een jaarlijkse opdrachtverstrekking door de rijks-CBO aan onafhankelijk deskundigen.
Het college heeft in de tijd gezien een doorlopende taakvervulling op basis van de verkregen opdracht. Door de geformuleerde drie taken (zie begin va dit hoofdstuk) is gegarandeerd dat op de momenten dat dat nodig is, openbaar en transparant wordt hoe en/of wanneer bijstelling van beveiligingsprofielen en certificering moet plaatsvinden. Bij de door de commissie Van Beek voorgestelde periodieke opdrachtverstrekking aan onafhankelijke deskundigen is er een risico dat de tijdige advisering tot bijstelling minder goed plaatsvindt.
Het college functioneert daarbij onafhankelijk van leveranciers, van gemeenten, van CBO en van de minister. Onafhankelijkheid is een belangrijke basis voor het vertrouwen in de advisering.
Als afwijking plaats vindt van de voorstellen van het college, dan zal dat plaats vinden op basis van openbare, transparante politieke besluitvorming in afwijking van de voorstellen van het college. Bedenk daarbij dat de voorstellen/advisering van zo’n college er bij opvolging toe kunnen leiden dat de levering van de stemprinters en/of stemmentellers voor een komende verkiezing geheel of gedeeltelijk niet plaats vindt. Omdat beveiligingsprofielen nog niet zijn aangepast, en/of nog niet geïmplementeerd zijn, en/of noodzakelijk geachte certificering nog niet heeft plaats gevonden. Een politieke keuze tot toch leveren in zo’n situatie zal bij instelling van zo’n college met zwaarwegende adviserende bevoegdheden op transparante, openbare basis tot stand komen.
14 In de vraagstelling wordt het voorbeeld van het Belgische College van Experten genoemd. De taak van dit college om toe te zien ‘[…] op het geheel van activiteiten en materiaal dat betrekking heeft op de digitale processen bij de voorbereiding van de verkiezingen, tijdens de stemming zelf en bij de verrichtingen na de stemming.’ Een korte verkenning van het Belgische systeem laat zien dat het college een toezichthoudende rol heeft in alle fasen van het verkiezingsproces. dat de samenstelling van het college van politieke aard is In ons onderzoek hebben we het Belgische systeem dan ook niet verder meegenomen.
40
Het college geeft een expertmatig, gezaghebbend oordelen. Voor zover meningsverschillen kunnen ontstaan over bijstelling van de beveiligingsprofielen en de noodzaak van
hercertificering vormen de adviezen van een dergelijke onafhankelijk college een belangrijke, zo niet doorslaggevende basis voor besluitvorming.
Een belangrijk voordeel van een dergelijk college is dat het regulier waarborgt dat de
betreffende normen in het verkiezingsproces niet in verval raken. Het houdt alle partijen scherp.
Een belangrijke leerschool uit het verleden.
Nadelen.
Instelling zou een zekere schijnzekerheid kunnen veroorzaken, zo kwam in de gesprekken naar voren. Ook het college kan geen volledige zekerheid geven over het goed functioneren van de stemprinter en stemmenteller tijdens de verkiezingen. De veiligheid van de stemprinter en stemmenteller is nu eenmaal niet louter bepaald door de technische eisen, maar ook door de waarborgen die in de procesvoering zijn ingebouwd. Dit nadeel is betrekkelijk. Het is niet de taak van het college die volledige zekerheid te geven. Als gebreken in de veiligheid zijn
opgetreden zal vooral onderzoek moeten plaats vinden en goede communicatie vereist zijn over oorzaken en mogelijke verbeteringen.
Een mogelijk nadeel is dat Rijk en gemeenten voor het oordeel afhankelijk worden van
deskundigen met een heel specifieke expertisen. Dat kan leiden tot snel terugvallen op dezelfde gezaghebbende experts. Ook dit nadeel is betrekkelijk. Zo schaars is het aantal
veiligheidsexperts nu ook weer niet. Met goede sturing op de samenstelling is dit punt goed te hanteren onder meer door betrekken van experts uit het buitenland. Zie de volgende paragraaf.
Een volgend mogelijk nadeel van een college van onafhankelijk ICT-deskundigen is dat er een extra orgaan tot stand komt binnen een speelveld waarin de verantwoordelijkheden van actoren en het toezicht nu soms al diffuus zijn, en zullen gaan veranderen. Ook dit nadeel is betrekkelijk Het college heeft een scherp begrensde opdracht met bijbehorende verantwoordelijkheden en taken van een dergelijk college in relatie tot de al bestaande verantwoordelijkheden in het verkiezingsproces en het toezicht daarop. Er is geen andere voor de hand liggende bestaande actor die deze uiterst belangrijke opdracht zomaar kan uitvoeren.
De keuze voor een rijks-CBO dan wel gemeentelijke samenwerking zal overigens geen verschil maken voor de instelling van een college van onafhankelijke ICT-deskundigen. Een dergelijk college is alleen denkbaar op nationaal niveau en vervult in beide modellen dezelfde functie.
Concluderend heeft een onafhankelijk college met een opdracht als in de vraagstelling geformuleerd en met zwaarwegende adviesbevoegdheden aanzienlijke voordelen. De nadelen daarvan zijn betrekkelijk, ook omdat ze goed te ondervangen lijken.
6.3 Antwoord subvraag IV B
De gewenste samenstelling van het college is afhankelijk van de geformuleerde opdracht en de gewenste onafhankelijke positie. In de vorige paragraaf is al aangegeven dat een aantal
respondenten ook voor andere dan ICT deskundigen pleiten als leden van de commissie. Op zich
41 een begrijpelijk standpunt, maar het gaat voorbij aan de strakke functie van het beoogde college, gericht op de tijdige bijstelling van eisen en certificering. Ons lijkt de volgende samenstelling en regulering daarvan gewenst, gelet op de opdracht en de vereiste onafhankelijkheid van de deskundigen.
Het college van onafhankelijk ICT-deskundigen zou op de eerste plaats de vereiste specifieke deskundigheid moeten omvatten om over eisen/beveiligingsprofielen en certificering te adviseren en te controleren of de juiste informatie openbaar is gemaakt, Het ICT college zou uit deskundigen kunnen bestaan, met de volgende kennis:
IT security expertise;
systeem-engineers met gedegen kennis van de stemprinter en stemmenteller;
EDP audit experts, met name ook deskundig in certificering.
Alle drie type deskundigen zouden goed ingevoerd moeten zijn in de Common Criteria en de andere van toepassing zijnde normenkaders, dan wel zich daar snel in moeten kunnen inwerken. Een van de leden zou een expert op het gebied van de Common Criteria moeten zijn
Om een goede intern en externe procesgang te waarborgen zou het college een voorzitter moeten hebben met een onafhankelijk, bestuurlijk profiel en dient er een goede ondersteuning te zijn die de wegen in Den Haag kan doen bewandelen.
Daarnaast valt te overwegen om een goede advisering te bewerkstelligen, ook bij de afwezigheid van een of meer van de leden, van de genoemde competenties een dubbele vertegenwoordiging in de commissie te hebben, dan wel vervanging geregeld te hebben. Wij achten dit punt belangrijk omdat een goede en onafhankelijke advisering inzet van alle genoemde verschillende competenties vereist en die moet inzetbaar zijn als de ontwikkelingen dat vereisen.
Mede om de onafhankelijkheid te waarborgen en om de kring van experts te vergroten is deelname van buitenlandse experts te overwegen. Onafhankelijkheid van het college is wezenlijk om de adviezen van het college gezaghebbend te doen zijn. Zoals aangegeven gaat het bij de leden om specifieke deskundigheid die weliswaar niet zo schaars is, maar de gezaghebbende personen die het betreft zitten al snel in verschillende gremia rondom ICT en ICT-veiligheid en zijn vaak
verbonden aan de praktijk. Ook voor wetenschappers geldt bijvoorbeeld dat zij vaak verbonden zijn met de praktijk. De onafhankelijkheid en kwaliteit van de deskundigheid is dus sterk afhankelijk van individuen. Te overwegen is een lijst op te stellen met criteria, gericht op het voorkomen van onverenigbare belangen. Daartoe zullen in ieder geval behoren risico op belangenvermenging behoren door bindingen als nevenfuncties:
met de certificeringsinstantie;
met de evaluator;
met de leverancier(s).
Wij achten gezien de beperkte en strakke taakstelling deze onafhankelijkheid en goede procesvoering redelijk goed te garanderen.
42